Rezumat
Este posibil să observați un număr foarte mare de evenimente de blocare colectate în portalul Microsoft Defender Advanced Threat Protection (MDATP). Aceste evenimente sunt generate de motorul de integritate a codului (CI) și pot fi identificate prin ExploitGuardNonMicrosoftSignedBlocked ActionType.
Eveniment așa cum se vede în jurnalul de evenimente de punct final
|
Tip acțiune |
Furnizor/sursă |
ID eveniment |
Descriere |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Bloc de protecție a integrității codului |
Eveniment așa cum se vede în cronologie
Procesul "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) a fost blocat la încărcarea binarului nesemnat Microsoft "\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"
Mai multe informații
Motorul CI asigură că doar fișierele de încredere au permisiunea de a se executa pe un dispozitiv. Atunci când ci este activat și întâlnește un fișier care nu este de încredere, generează un eveniment de blocare. În modul Auditare, fișierul are în continuare permisiunea de a se executa, în timp ce în modul Impunere fișierul este împiedicat să se execute.
CI poate fi activat în mai multe moduri, inclusiv atunci când implementați o politică pentru Controlul aplicației Windows Defender (WDAC). Cu toate acestea, în această situație, MDATP activează CI pe back-end, ceea ce declanșează evenimente atunci când întâmpină fișiere de imagini native nesemnate (NI) provenite de la Microsoft.
Semnarea unui fișier este menită să permită verificarea autenticității fișierelor respective. CI poate verifica dacă un fișier este nemodificat și provine de la o autoritate de încredere, pe baza semnăturii sale. Majoritatea fișierelor care provin de la Microsoft sunt semnate, însă unele fișiere nu pot fi sau nu sunt semnate din diverse motive. De exemplu, fișierele binare NI (compilate din codul .NET Framework) sunt semnate în general dacă sunt incluse într-o versiune. Totuși, acestea sunt de obicei regenerați pe un dispozitiv și nu pot fi semnate. Separat, multe aplicații au doar fișierul CAB sau MSI semnat pentru a verifica autenticitatea lor la instalare. Atunci când rulează, creează fișiere suplimentare care nu sunt semnate.
Atenuare
Nu recomandăm să ignorați aceste evenimente, deoarece pot indica probleme de securitate originale. De exemplu, un atacator rău intenționat poate încerca să încarce un binar nesemnat sub masca de origine de la Microsoft.
Totuși, aceste evenimente pot fi filtrate prin interogare atunci când încercați să analizați alte evenimente din Vânătoare complexă, excluzând evenimentele care au ExploitGuardNonMicrosoftSignedBlocked ActionType.
Această interogare ar afișa toate evenimentele legate de această detectare supra-detectare particulară:
DeviceEvents | unde ActionType == "ExploitGuardNonMicrosoftSignedBlocked" și InitiatingProcessFileName == "powershell.exe" și FileName se termină cu "ni.dll" | where Timestamp > ago(7d)
Dacă doriți să excludeți acest eveniment, va trebui să inversați interogarea. Acest lucru ar afișa toate evenimentele ExploitGuard (inclusiv EP), cu excepția acestora:
DeviceEvents | unde ActionType începe cu "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" sau (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" și InitiatingProcessFileName != "powershell.exe") sau (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" și InitiatingProcessFileName == "powershell.exe" și FileName !endswith "ni.dll") | where Timestamp > ago(7d)
În plus, dacă utilizați .NET Framework 4.5 sau o versiune mai recentă, aveți opțiunea de a regenera fișiere NI pentru a rezolva multe dintre evenimentele inutile. Pentru a face acest lucru, ștergeți toate fișierele NI din directorul NativeImages și rulați comanda de actualizare ngen pentru a le regenera.
